我最近与 G Suite 集成,将其用作我的应用程序的 SAML 2.0 IdP。通过 G Suite 控制面板配置 SAML 应用程序时,您只能映射一些基本的员工属性First Name,例如Last Name和Primary Email Address。
以前我们的应用程序与 ADFS 一起使用,它也被配置为发送不可变 ID。这样做的目的是,如果有人结婚或以其他方式更改姓名,他们的电子邮件地址也可能会更改。通过匹配不可变 ID,我们可以使用新的详细信息更新我们在应用程序中的记录。
但是,如果有人要更改他们在 Google 中的电子邮件 + 名称,我们无法确定这可能是一个使用不同名称的旧帐户。
我注意到您可以向用户添加自定义属性,并且可能可以映射这些属性,但我们不希望将其强加给 SaaS 的消费者。我看到有一个Employee Id属性,但在 SAML 映射屏幕上似乎无法选择。